Закон «О защите персональных данных» -«филькина» грамота для Европы
8-02-2011, 09:30
Закон Украины «О защите персональных данных» вступил в силу 1 января. Но в реальности это ещё недоработанный документ, который по большому счету всё ещё существует лишь «на бумаге». Механизм начнет действовать когда все его шестерёнки будут выставлены на свои места.
«Как обычно, у нас принимают закон, но забывают издать к нему какие либо положения. К нему должен идти четкий механизм исполнения. Под этот закон нет никаких комментариев, нет ничего. Где здесь расписаны мои действия как субъекта? Какие инструкции, какие служебные полномочия должны быть, в конце концов?! У нас есть закон, но он представляет из себя скелет, на котором нет ни мышц, ни кожи, ни волосиков!», - объяснила юрист.
По её словам, один закон не может существовать сам по себе. В законодательстве все должно быть взаимосвязано. А при более детальном рассмотрении данного нормативного акта и выясняется, что ни механизма использования, ни наказания пока не существует. В Ст. 28 только и сказано «Нарушение законодательства о защите персональных данных влечет ответственность, установленную законом». Вопрос только один, а каким законом?
«Если лицо нарушит закон о защите персональных баз данных, то где изменения к Уголовному кодексу Украины? Как человек сможет со ссылкой на этот закон возбудить уголовное дело против конкретного чиновника или должностного лица.. Где такие изменения к административному кодексу?», - говорит она.
Получается, что бороться и защищать персональные базы данных с помощью этого закона фактически невозможно. Оштрафовать можно лишь за то, что имеет механизм наложения, взыскания или применения санкций. Но пока никакие штрафы не предусмотрены. Надежды на появление подкрепляющих положений возлагаются на правительство. Так в Ст. 30. п.2. Кабинету Министров Украины обязан в течение шести месяцев со дня вступления в силу настоящего Закона: обеспечить принятие нормативно-правовых актов; обеспечить приведение своих нормативно-правовых актов в соответствие с настоящим Законом.
Находим ответ и в статье 23, п 2.5. Здесь сказано, что ситуация будет урегулирована уполномоченным государственным органом, который издаст обязательные для исполнения законные требования (предписания) об устранении нарушений законодательства о защите персональных данных. Но вот уже идет второй месяц. Где изменения?
«А сейчас все реально понимают, что без механизма это просто «филькина» грамота.. Единственное, что я могу сделать, узнав что кто-то без моего разрешения собирает или передает мои данные, это попытаться себя защитить, ссылаясь на этот закон. Можно только попробовать. Но когда издается закон без механизма его исполнения, тут уже, как говорится «куди повернишь – туди і вийдешь». Допустим, суд признает противоправным нарушение этого закона, а что дальше? Безнаказанность?», - говорит практикующий адвокат Елена Степанец.
Государство гарантирует
Закон "О защите персональных данных" уже успел прославиться как самый противоречивый. Напрмер, нестыковка есть в статье 24, где в п.1 сказано, что защиту персональных баз данных гарантирует государство. А в п.3 оказывается, что обеспечение защиты данных возлагается на владельца базы. Получается, что государство обязалось гарантировать защиту данных руками посторонних людей (распорядителей данных).
«Очень часто с данными работают люди не имеющие понятия о "безопасности". Рядовой бухгалтер или менеджер в маленькой конторке умеет вносить данные в ту программу, которую успел освоить, однако представления не имеет о том, как из-за технической безграмотности они легко могут попасть в чужие руки. Мелкие конторки это не большие корпорации со штатом технических специалистов, способных обеспечить надежную защиту внутренней инфраструктуры. А государство ведь нам как-то гарантирует - все будет защищено», - рассказал программист.
Что же теперь считать защищенной базой данных, а что нет - не понятно. То ли это флешка, закрытая в сейфе на 10 ключей. То ли сервер, замурованный в бетонный блок. А может быть и сложнейшая система, доступ к которой можно получить только по результатам анализа ДНК?!
Смотрим в Ст.24 «Обеспечение защиты персональных баз данных». В п.5 указано, что в органах государственной власти, местного самоуправления, организациях, учреждениях и предприятиях всех форм собственности будет определяется структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке.
Многим владельцам баз данных возможно потребуется внести существенные изменения в структуры своих информационную систем, если государство установит определенные стандарты и требования к уровню защиты данных. В некоторых случаях это потребует существенных финансовых затрат со стороны владельцев базы данных. Вполне возможно, что некоторым физ-лизам придется и вовсе временно приостановить свою деятельность, чтобы лишний раз не нарушить закон.
«Для того чтобы такие вещи работали - нужен определенный ГОСТ, который бы описывал обязательные требования к защите данных, методы и инструменты, способные этот гост реализовать. А так получается закон ради закона, принципов соблюдения которого никто не знает», - прокомментировал ситуацию разработчик программного обеспечения.
Но больше всего возникает вопросов к процессу контроля. Люди зарегистрируют свои данные. Что дальше? П.4 Ст. 19 предусматривает, что «Органы государственной власти и местного самоуправления имеют право на беспрепятственный и бесплатный доступ к персональным данным в соответствии с их полномочиями». Неясно только сможет ли государство гарантировать, что органы власти не будут использовать своё служебное положение для получения этих данных?
«Люди годами нарабатывают свою клиентскую базу и другие данные, которые через коррупционные связи могут в считанные минуты могут попасть в руки конкурентов. Эти данные порой могут стоит много денег, а если ещё и попадут не в те руки - то и того хуже», - считает разработчик программного обеспечения.
Проблема с коррупцией в Украине все ещё актуальна. Даже в Европе подобная защита персональных баз данных гарантируется независимым органом. А у нас получается, что государство решило получить безграничный доступ ко всем базам данных и сделало это обязательным для всех. Но кому нужно такое законодательство?
Угодим Европе
Возможно, анализировать стоит и не закон, а сам факт принятия его в контексте того «положения», в котором пребывает страна. В эпоху реформ Украина ещё и готовится к Евро-2012. Влияние таких партнеров как Евросоюз с Советом Европы и ОБСЕ (организацией по безопасности и сотрудничеству в Европе) достаточно ощутимо. Если в столице запретили сушить на балконе трусы, что уж тут говорить о тех обязательствах, которые возложены на Украину в части реформирования законодательства, регулирующего информационную сферу?
Так и рассмотренный нами Закон о «защите персональных баз данных» был принят как требование партнеров. 1 января 2011 года он вступил в силу вместе с Конвенции Совета Европы № 108 "О защите лиц в связи с автоматизированной обработкой персональных данных». Данная конвенция стала основой закону. Кроме того, в нем заложены и Директивы 95/46/ЕС Европейского Парламента и Совета "О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных".
Вот только увидим ли мы положительные изменения, когда наши законы начнут соответствовать Европейским нормам – вопрос риторический. Потому как в нашей стране законы сначала вступают в силу, а потом все ломают головы как их выполнять . А думать бы стоило депутатам Верховной Рады, причем до, а не после принятия документов.
Анастасия Светлевская, по материалам ТопМедиа.